• exkulpa
  • /
  • Blog
  • /
  • Datenschutz
  • /
  • Datenschutz-Folgenabschätzung – Muster, Beispiele und gesetzliche Pflichten zur Durchführung

Datenschutz-Folgenabschätzung – Muster, Beispiele und gesetzliche Pflichten zur Durchführung

09. März 2023 - Minuten Lesezeit

Unternehmen sind dazu verpflichtet, den Datenschutz und etwaige Datenschutzgesetze, wie die Datenschutz-Grundverordnung, beim Umgang mit personenbezogenen Daten einzuhalten. Ein wichtiges Instrument für Verantwortliche im Datenschutz ist die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO (kurz DSFA), zum Zwecke des Schutzes personenbezogener Daten und zum Schutz der Rechte und Freiheiten von betroffenen Personen. 

Erfahren Sie in diesem Artikel mehr über den Zweck einer Datenschutz-Folgenabschätzung, über die Notwendigkeit der Durchführung einer DSFA bei bestimmten Verarbeitungsvorgängen einschließlich der Vorgehensweise und Beispiele aus der Praxis, und erhalten Sie ein Datenschutz-Folgenabschätzung Muster, welches Sie kostenfrei herunterladen und nutzen können.

Was ist eine Datenschutz-Folgenabschätzung?

Eine Datenschutz-Folgenabschätzung (DSFA) ist nichts anderes als eine Risikobewertung. Es handelt sich um ein Instrument im Datenschutz, mit dem geprüft werden kann, ob eine Verarbeitung von personenbezogenen Daten im Unternehmen ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Hierzu   erfolgt eine detaillierte Beschreibung und Bewertung der Vorgänge, bei denen personenbezogene Daten verarbeitet werden sollen, einschließlich der Zwecke der Verarbeitung. Anschließend werden die Risiken geprüft und es werden Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten getroffen. Datenschutz-Folgenabschätzungen erfüllen damit auch den Zweck, Datenschutzverstöße wegen unzulässiger Verarbeitungsvorgänge zu verhindern und den Datenschutz im Betrieb zu gewährleisten. 

Wann ist eine Datenschutz-Folgenabschätzung erforderlich?

Eine Datenschutz-Folgenabschätzung ist immer dann notwendig, wenn ein Unternehmen ein Verfahren zur Datenverarbeitung einführen möchte, welches voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.

Unter bestimmten Umständen ist eine Datenschutz-Folgenabschätzung verpflichtend durchzuführen. Das ist der Fall, wenn die DSGVO dies bereits per Gesetz fordert und/oder wenn eine Verarbeitungstätigkeit in einer sogenannten „Blacklist“ einer Aufsichtsbehörde aufgeführt ist.

Gesetzliche Bestimmungen zur Durchführung einer Datenschutz-Folgenabschätzung

Der Art. 35 Abs. 3 DSGVO erfordert in folgenden drei Fällen immer die Durchführung einer DSFA: 

a) „systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen"

Beispiele für automatisierte Verarbeitungsvorgänge, die einer Risikoanalyse / DSFA bedürfen

1. Talentmanagement-System eines Unternehmens

Bei dieser Datenverarbeitung werden Daten über die Leistungen und das Verhalten der Mitarbeiter automatisch erfasst und ausgewertet, um Entscheidungen über Beförderungen, Gehaltserhöhungen und Weiterbildungen zu treffen. Das Talentmanagement-System kann etwa die Arbeitsqualität anhand von KPIs (Key Performance Indicators) bewerten, die auf individuelle Arbeitsziele und Unternehmensziele abgestimmt sind. Dies stellt eine automatisierte Datenverarbeitung dar und unterliegt damit der gesetzlichen Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung. Es muss entschieden werden, ob bei dieser Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen entsteht.

2. Bewertung durch Kredit-Scores

Kredit-Scores sind Bewertungen, die von Finanzinstituten und Kreditgebern verwendet werden, um die Kreditwürdigkeit von potenziellen Kreditnehmern zu bewerten. Die Bewertung erfolgt anhand verschiedener Kriterien wie Zahlungsverhalten, Verschuldungsgrad, Beschäftigungsgeschichte und Bonität. Diese Daten werden automatisch aus verschiedenen Quellen gesammelt und bewertet, um einen Kredit-Score für den Kreditnehmer zu erstellen. Auch hierbei handelt es sich um eine automatisierte Datenverarbeitung, für die eine Datenschutz-Folgenabschätzung durchgeführt werden muss. 

Datenschutz-Folgenabschätzung bei automatisierter Verarbeitung von personenbezogenen Daten (Kredit-Scores)

Kredit-Scores sind Bewertungen, die von Finanzinstituten und Kreditgebern verwendet werden, um die Kreditwürdigkeit von potenziellen Kreditnehmern zu bewerten. Die Bewertung erfolgt anhand verschiedener Kriterien wie Zahlungsverhalten, Verschuldungsgrad, Beschäftigungsgeschichte und Bonität.

Datenschutz-Folgenabschätzung bei automatisierter Verarbeitung von personenbezogenen Daten (Kredit-Scores)

Diese Daten werden automatisch aus verschiedenen Quellen gesammelt und bewertet, um einen Kredit-Score für den Kreditnehmer zu erstellen. Auch hierbei handelt es sich um eine automatisierte Datenverarbeitung, für die eine Datenschutz-Folgenabschätzung durchgeführt werden muss. 

Die DSGVO erfordert die Datenschutz-Folgenabschätzung außerdem unter den folgenden Umständen:

b) „umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10"

Beispiele für Verarbeitungen sensibler Daten, die eine Datenschutz-Folgenabschätzung erfordern

1. Verarbeitung von Gesundheitsdaten im Rahmen der medizinischen Forschung

Ein Unternehmen, das auf medizinische Forschung spezialisiert ist, könnte umfangreiche Verarbeitungen von Gesundheitsdaten durchführen, um neue Medikamente und Therapien zu entwickeln. Diese Verarbeitungen können auch die Verwendung von genetischen Informationen und anderen sensiblen Daten umfassen. Dieser Prozess der Datenverarbeitung bedarf einer Risikoanalyse mit einer Folgenabschätzung, um die Risiken für die Rechte und Freiheiten der betroffenen Personen abzuschätzen.

2. Verarbeitung von Gesundheitsdaten und Vorstrafenregistern durch eine Versicherung

Eine Versicherung benötigt in der Regel (z. B. im Rahmen von Kranken- oder Lebensversicherungen) umfangreiche Informationen über den Gesundheitszustand und Vorerkrankungen ihrer Kunden, um eine Bewertung der Risiken durchführen und die Prämienhöhe festlegen zu können. Hierbei handelt es sich um besondere Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1. Zusätzlich benötigt eine Versicherung ggf. Informationen über strafrechtliche Verurteilungen und Straftaten, da diese Einfluss auf die Risikoanalyse haben können. Hierbei handelt es sich um personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO. Im Sinne des Datenschutzes muss die verantwortliche Stelle eine DSFA für diese Fälle der Verarbeitung durchführen. 

Datenschutz-Folgenabschätzung Muster für die Verarbeitung von Gesundheitsdaten

Und die DSGVO führt noch einen dritten Fall auf, der auf jeden Fall eine Datenschutz-Folgenabschätzung erfordert: 

c) „systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche"

Durchführung einer Datenschutz-Folgenabschätzung ohne gesetzliche Verpflichtung

Die Durchführung einer DSFA kann jedoch auch sinnvoll sein, wenn es keine gesetzliche Verpflichtung hierfür gibt, z. B. um:

die Einhaltung der geltenden Gesetze und Vorschriften innerhalb des Unternehmens bewerten zu können,

Risiken zu erkennen und zu minimieren,

zu wissen, wo persönliche Daten gespeichert sind und mit wem diese ggf. geteilt werden. 

Listen der Aufsichtsbehörden („Blacklists“) 

Die Aufsichtsbehörden im Datenschutz veröffentlichen sogenannte „Blacklists“. In diesen Listen werden bestimmte Verarbeitungsvorgänge aufgeführt, die nach Auffassung der Behörden immer eine Datenschutz-Folgenabschätzung erfordern.

Die Blacklists der Aufsichtsbehörden sind leider nicht hundertprozentig untereinander abgestimmt. So kann es vorkommen, dass bei jeder Landesdatenschutzbehörde unterschiedliche Verfahren zwingend einer Datenschutz-Folgenabschätzung unterliegen.

Unternehmen sollten sich grundsätzlich immer an den Empfehlungen der Landesdatenschutzbehörde orientieren, die für sie zuständig ist. Das ist in der Regel die Landesbehörde, in deren Bundesland das Unternehmen seinen Hauptsitz hat.

Zusätzlich zu den allgemeinen Listen des Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI) und der Liste der Datenschutzkonferenz (DSK) veröffentlichen die jeweiligen Landesbehörden eigene Listen mit Verarbeitungsvorgängen, die einer DSFA unterliegen. Im Folgenden haben wir für Sie eine Übersicht mit den jeweiligen Listen der Datenschutzbehörden zusammengestellt. 

Listen der Datenschutzbehörden mit Verarbeitungsvorgängen,
für die eine DSFA durchzuführen ist

Bayern

Die bayerische Datenschutzbehörde verweist auf die Liste der DSK.

Brandenburg

Bremen

Die Liste für den nicht-öffentlichen Bereich von Bremen können Sie sich hier herunterladen. 

Hessen

Die hessische Datenschutzbehörde verweist ebenfalls auf die Liste der DSK.

Mecklenburg-Vorpommern

Die Datenschutzbehörde von Mecklenburg-Vorpommern veröffentlichte diese eigene Liste für den öffentlichen Bereich und verweist für den nicht-öffentlichen Bereich auf die DSK.

Niedersachsen

Auch die Datenschutzbehörde von Niedersachsen hat keine eigene Liste, sondern verweist auf die Hilfestellung der DSK

Nordrhein-Westfalen

Die Datenschutzbehörde Nordrhein-Westfalen stellt diese Liste des LDI NRW für den öffentlichen Bereich zur Verfügung. 

Saarland

Die Datenschutzbehörde im Saarland verweist lediglich auf das offizielle Kurzpapier der DSK

Sachsen-Anhalt

Der Landesbeauftragte für den Datenschutz Sachsen-Anhalt veröffentlichte eine Liste für den öffentlichen Bereich

Schleswig-Holstein

Die Datenschutzbehörde in Schleswig-Holstein veröffentlichte eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich

Wie ist eine Datenschutz-Folgenabschätzung durchzuführen?

Folgende Schritte sollten bei der Durchführung einer Datenschutzfolgenabschätzung vorgenommen werden: 

  • Systematische Beschreibung der geplanten Verarbeitungsvorgänge: Beschreiben Sie die zu prüfende Verarbeitung so genau wie möglich, einschließlich der durch den Verantwortlichen verfolgten berechtigten Interessen, um etwaige Risiken vorab zu erkennen, z. B. Zugriff durch zu viele Mitarbeiter, hohes Risiko aufgrund vieler sensibler Daten usw. 
  • Regelungen im Datenschutz: Prüfen Sie die rechtmäßige Verarbeitung Ihres Prozesses nach Art. 6 DSGVO und prüfen Sie die Einhaltung der geplanten Datenschutzgrundsätze aus Art. 5 DSGVO. 
  • Detaillierte Beschreibung der geplanten Verarbeitungsvorgänge: Seien Sie bei der Prüfung möglicher Schäden präzise. Umso einfacher wird Ihnen die Einschätzung des womöglich hohen Risikos bei der Verarbeitung fallen.
  • Bewertung der Risiken: Jetzt müssen Sie einschätzen, ob die Verarbeitung dem Risiko angemessen ist und wie hoch das Risiko für die Rechte und Freiheiten der betroffenen Personen ist.
  • Zweckerfüllung und Alternativen: Nun ist noch zu prüfen, ob die Verarbeitung den geplanten Zweck erfüllt und ob es eventuell Alternativen mit geringeren Risiken gibt. In diesem Zuge müssen auch die Interessen beider Parteien betrachtet und beschrieben werden. Auch muss bewertet werden, ob das Interesse und die Grundrechte des Betroffen oder die berechtigten Interessen des Verantwortlichen überwiegen.
  • Sorgfältige Dokumentation: Zu guter Letzt muss das Ergebnis der Datenschutz-Folgenabschätzung nachweislich dokumentiert werden, beispielsweise im Datenschutz-Managementsystem des Unternehmens.
  • Einbindung des Datenschutzbeauftragten: Bei der Durchführung der DSFA ist der Datenschutzbeauftragte immer zu Rate zu ziehen  – sofern für das Unternehmen ein DSB bestellt ist.

Sollte das Unternehmen nach der Durchführung einer Datenschutz-Folgenabschätzung zu dem Schluss kommen, dass die Verarbeitung nicht wie geplant durchgeführt werden kann, weil der Einsatz der Verarbeitung ein zu hohes Risiko für die Betroffenen darstellt, hat es die Möglichkeit, durch die Nachbesserung der technisch und organisatorischen Maßnahmen eine Verarbeitung so aufzustellen, dass die getroffenen Sicherheitsmaßnahmen dem Risiko angemessen sind und die Verarbeitung somit doch durchgeführt werden kann. Denn durch die Sicherheitsmaßnahmen kann das Risiko für die Betroffenen auf ein niedriges Niveau heruntergeschraubt werden.

Eine solche Nachprüfung bzw. Nachbesserung zur Minderung des Risikos erklären wir Ihnen im Folgenden anhand eines Praxisbeispiels. 

Datenschutz-Folgenabschätzung Beispiel anhand der Videoüberwachung

Ein Unternehmen möchte eine Videoüberwachung installieren. Hierzu beauftragt es einen Dienstleister, welcher die Kameras installiert und anbringt. Der Datenschutzbeauftragte des Unternehmens nimmt beim Vor-Ort-Termin die Besichtigung der Kameras vor, um eine DSFA zu erstellen. Dabei fällt ihm auf, dass zwei Kameras nicht nur das Gelände des eigenen Unternehmens, sondern auch den öffentlichen Gehweg aufnehmen. Angesichts dessen kommt der DSB zu einem negativen Ergebnis bei der DSFA und wendet sich an den Dienstleister, welcher die Kameras angebracht hat. Der DSB empfiehlt, die Kameras, die den öffentlichen Bereich filmen, so einzustellen oder zu verpixeln, dass der öffentliche Bereich auf den Bildern nicht mehr zu sehen ist. 

Ein Unternehmen möchte eine Videoüberwachung installieren. Hierzu beauftragt es einen Dienstleister, welcher die Kameras installiert und anbringt. Der Datenschutzbeauftragte des Unternehmens nimmt beim Vor-Ort-Termin die Besichtigung der Kameras vor, um eine DSFA zu erstellen. Dabei fällt ihm auf, dass zwei Kameras nicht nur das Gelände des eigenen Unternehmens, sondern auch den öffentlichen Gehweg aufnehmen. 

Angesichts dessen kommt der DSB zu einem negativen Ergebnis bei der DSFA und wendet sich an den Dienstleister, welcher die Kameras angebracht hat. Der DSB empfiehlt, die Kameras, die den öffentlichen Bereich filmen, so einzustellen oder zu verpixeln, dass der öffentliche Bereich auf den Bildern nicht mehr zu sehen ist. 

Nach Umsetzung der technischen Maßnahmen führt der DSB die DSFA erneut durch und kommt zu dem Ergebnis, dass nun infolge der Nachbesserung keine hohen Risiken für natürliche Personen entstehen. In der Folge kann die Videoüberwachung jetzt wie geplant eingesetzt werden. 

Datenschutz-Folgenabschätzung Muster

Hier haben Sie die Möglichkeit, ein Muster einer Datenschutz-Folgenabschätzung gemäß Art. 35 Datenschutz-Grundverordnung kostenfrei herunterzuladen und zu nutzen. Mit dem Muster können Sie Datenschutz-Folgenabschätzungen für alle Verarbeitungsvorgänge in Ihrem Unternehmen erstellen, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bergen. Zum Datenschutz-Folgenabschätzung Muster: 

Datenschutz-Folgenabschätzung Muster - exkulpa gmbh
Datenschutz-Folgenabschätzung Muster nach DSGVO - exkulpa gmbh

Fazit

Sollten Sie sich nicht sicher sein, ob Ihre Verarbeitungstätigkeit ein hohes Risiko darstellen könnte und einer DSFA unterliegt, empfiehlt es sich, entweder auf der Seite der jeweiligen Landesdatenschutzbehörde in die Liste der einer DSFA erforderlichen Tätigkeiten zu schauen oder sich an Ihren Datenschutzbeauftragten zu wenden.

Bei Fragen zur DSFA oder bei Unterstützungsbedarf wenden Sie sich gerne direkt an uns und nehmen Sie Kontakt über unsere Website auf. Wir unterstützen Sie gerne und helfen Ihnen dabei, eine Datenschutz-Folgenabschätzung durchzuführen.

Sven Brodermanns

Sven Brodermanns
Weitere blogartikel
{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Sie haben Beratungsbedarf oder wünschen ein Angebot zum Datenschutz?

>